El misterio de Duqu 2.0: el regreso del sofisticado ciberespía

Una nueva vulnerabilidad “de día cero” le ayuda a inyectar en el kernel de la memoria y mantenerse escondido

Duqu 2.0: Frequently Asked Questions
Puedes encontrar aquí las reglas Yara
El informe técnico de Duqu 2.0 (PDF) se encuentra aquí
Comunicado de prensa
Los indicadores de infección se encuentran aquí

Hace algunos meses, durante una limpieza de seguridad, Kaspersky Lab detectó una intrusión cibernética que afectaba a muchos de nuestros sistemas internos.

Este hallazgo nos impulsó a lanzar una investigación de gran escala, con la que descubrimos una nueva plataforma de malware de uno de los grupos más hábiles, misteriosos y poderosos del mundo de las Amenazas Persistentes Avanzadas (APT): Duqu. El actor Duqu desapareció en 2012 y se creía que había dejado de operar… hasta ahora. Nuestro análisis técnico indica que la nueva ronda de ataques incluye una versión actualizada del infame malware Duqu de 2011, al que a veces se refieren como el hermanastro de Stuxnet. Hemos llamado a este malware y su plataforma asociada “Duqu 2.0″.

Algunas de las nuevas infecciones de Duqu de 2014-2015 tienen conexiones con los acontecimientos de P5+1 y las negociaciones con Irán sobre tratados nucleares. Parece que el actor de amenazas responsable de Duqu ha lanzado ataques a los lugares en los que se realizaban estas importantes negociaciones. Además de los acontecimientos de P5+1, el grupo Duqu 2.0 ha lanzado un ataque similar relacionado con el 70 aniversario de la liberación de Auschwitz-Birkenau.

En el caso de Kaspersky Lab, el ataque aprovechó una vulnerabilidad de día cero en Windows Kernel y tal vez hasta dos vulnerabilidades más que ahora ya están parchadas, pero en su momento eran de día cero. El análisis del ataque reveló que la meta principal de los atacantes era espiar las tecnologías, investigaciones y procesos internos de Kaspersky Lab. No se detectaron interferencias con procesos o sistemas. Puedes encontrar más detalles en nuestro informe técnico.

Desde el punto de vista de un actor de amenazas, la decisión de atacar a una compañía de seguridad de fama mundial debe ser muy difícil. Por un lado, es casi seguro que el ataque se descubra – es casi imposible que el ataque pase desapercibido. Es por eso que el ataque a compañías de seguridad puede indicar un exceso de confianza en que no se los descubrirá o una falta de interés en que se los encuentre y exponga. Es posible que, al atacar a Kaspersky Lab, los cibercriminales de Duqu hayan hecho una alta apuesta con la esperanza de mantenerse ocultos; pero perdieron.

En Kaspersky Lab somos firmes creyentes de la transparencia, por eso estamos haciendo pública esta información. Kaspersky Lab está seguro de que sus clientes y partners están a salvo y de que los productos, tecnologías y servicios de la compañía no sufrieron el impacto de este ataque.

Duqu 2.0 – Indicadores de infección (IOCs)

MD5s

Cargadores de acción:

089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92

Núcleos:

3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834

IPs de Comando y Control:

182.253.220.29
186.226.56.103

También puedes usar el archivo IOC disponible aquí para buscar a Duqu 2.0 en tu red.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *